Hlavní navigace

Bezpečnostní střípky: hackeři a úmluva ACTA

30. 1. 2012
Doba čtení: 16 minut

Sdílet

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek právě uplynulého týdne vás upozorníme především na řadu vydaných přehledů, dále pak na útoky malware pro Android a na chystanou evropskou legislativu k ochraně dat. Ta přinesla i řadu útoků na vládní weby.

Přehledy

Účastníci UK SharePoint Saturday conference byli respondenty přehledu SharePoint Security Survey by Cryptozone. Celkem 100 účastníků této akce (uživatelé MicrosoJ®Share­Point) odpovídalo anonymně. Výsledky jsou komentovány také v článku SharePoint gods peek into colleagues´ info – poll. Zneužívání administrátorských pravomocí není bohužel, jak se zdá, mimořádným jevem.

Pro přístup ke zprávě Cybersource: 2012 Online Fraud Report je zapotřebí registrace. Komentář a stručné shrnutí výsledků zprávy jsou obsaženy v článku Criminals stole $3.4B from online revenues in 2011. Obchodníci v boji proti podvodníkům něco v roce 2011 získali, ale boj pokračuje, říká společnost CyberSource (Visa). Procento podvodů ve vztahu k počtu objednávek kleslo na 0,6 procenta (v roce 2011) oproti 0,9 procenta (v roce 2010).

Také ke studii Ponemon Institute Aftermath of a Data Breach je nezbytná krátká registrace. Studie (26 stran) je orientována především na tyto tři tématické okruhy:

  • Okolnosti datového průniku
  • Odpověď na datový průnik
  • Dopad datového průniku na soukromí a postupy pro ochranu dat

Komentář k této studii je obsažen v článku IT pros say data breach assessment is more valuable than notification, study says.

Zpráva společnosti RSA: Getting Ahead of Advanced Threats je dokument o 32 stranách. Obsahuje tyto kapitoly:

  1. Introduction: The Need to know
  2. What do organizations need to know?
  3. Time for a New Approach
  4. Roadmap to intelligence-driven information security
  5. No Organization is an Island: Improving Information Sharing

Z tiskové zprávy: RSA, bezpečnostní divize EMC, vydala soubor nových přístupů, navržených bezpečnostními řediteli v předních světových společnostech s cílem pomoci organizacím a státním institucím významně zlepšit povědomí o pokročilých rizicích, jako jsou průmyslová špionáž, narušení obchodních a finančních operací či sabotáž podnikové infrastruktury.

Security Threat Report 2012, tuto zprávu připravila společnost Sophos. Z obsahu:

  • Risk in the way we work
  • Consumerization of IT
  • Cloud computing
  • Social networks
  • What´s new in 2012: 10 trends

Komentář k této zprávě obsahuje článek Blackhole crimeware kit drives web threat spike.
Viz také – Study: BlackHole appears, Conficker remains. Chyby uživatelů jsou největší hrozbou internetu, říká další komentář ke zprávě společnosti Sophos – User error is the biggest threat on the Internet.

O víkendu se konala akce Shmoocon 2012 (na tomto odkazu najdete abstrakty jednotlivých vystoupení).

Studie Global Survey: Dispelling Six Myths of Consumerization of IT je šestistránkový dokument společnosti Avanade. Rozebírá v souvislosti se stále širším využíváním zařízení BYOD na pracovištích těchto šest „mýtů“:

  • Businesses Are Resisting the Consumerization of IT
  • Companies Don’t Have the IT Resources They Need to Manage the Consumerization of IT
  • The Need to Attract and Keep Millennials is Driving the Consumerization of IT
  • Personal Devices in the Workplace Are Used for Checking Email and Browsing Facebook
  • Apple = Consumerization of IT
  • Consumer Technologies with Built-In Security Measures are Safe for Use in the Enterprise

Komentář k tomuto dokumentu je v článku Enterprises Are Embracing BYOD, Not Resisting It: Study.

Obecná a firemní bezpečnost IT

Minulou středu byly zveřejněny návrhy na úpravu zákona EU k ochraně dat – Europe exposes its stiff data protection law this week. Například internetové firmy budou mít povinnost ohlásit datový průnik do 24 hodin.
Viz také komentář – Firms face tougher data-protection rules in Europe.

Chystaným změnám evropského zákona na ochranu dat se věnuje také článek IT Security & Network Security News EU Poised to Propose 24-Hour Breach Notification, Data Privacy Rules. Jsou v něm mj. citovány vyjádření evropské komisařky Viviane Reding.

Na stránkách Computerworldu se k nové legislativě EU objevily hned tři komentáře:

Kritika: nové pravidlo EU o informování zákazníků o datovém průniku do 24 hodin nemůže v praxi fungovat – EU 24-Hour Data Breach Notification Rule ‚Unworkable‘: ATandT Executive. V tomto smyslu se vyjádřil Bob Quinn (bezpečnostní ředitel AT&T) na diskusním panelu, který je součástí akce National Cyber Security Alliance´s Data Privacy Day.

SOPA and PIPA: What went wrong? aneb co je špatného na zákonech SOPA a PIPA? Grant Gross přichází s menší analýzou situace.
Viz také komentář – SOPA, PIPA Stalled: Meet the OPEN Act.

USA: soudce rozhodl, žena musí umožnit přístup k nezašifrované kopii svého pevného disku – When Uncle Sam Can Demand You Decrypt Laptop. Dotyčná žena je obviněna z podvodů s nemovitostmi. Viz také – Suspects Can Be Forced to Decrypt Hard Drives, Judge Rules.
Viz také diskuzi na Schneierově blogu – Federal Judge Orders Defendant to Decrypt Laptop.

Newt Threatens China and Russia With Cyberwar – američtí politici a kybernetická válka s Čínou a Ruskem. Blíží se volby, republikánský kandidát Newt Gingrich vytáhl do své argumentace i tuto kartu.

Kanadský námořní důstojník byl obviněn z e-špionáže – Royal Canadian Navy officer charged with espionage. Je první osobou, která byla takto obviněna ve smyslu nového kanadského zákona – Security of Information Act.

Computer Security Fundamentals, to je recenze stejnojmenné knihy (nyní v druhém vydání). Autorem knihy je William (Chuck) Easttom. Kniha má 352 stran, vyšla v prosinci 2011 v naklada­telství Que. Najdete ji na Amazonu.

The top-10 web security threats you should avoid, top 10 internetových hrozeb, kterým byste se měli vyhnout, informuje o nich komentář komentář ke studii společnosti AVG – AVG Community Powered Threat Report.

Google sjednocuje politiky ochrany soukromí u svých aplikací – IT Security & Network Security News & Reviews: Google Privacy Policies Rile Users, Regulators With Zero Opt-Out. Postupy budou platit od 1. března u většiny produktů Google (u 60 ze 70). V slideshow jsou tyto přístupy vysvětlovány. Viz také komentář Google: No opt-out of mix-and-match data.

Chraňte své online image pomocí tipů od Microsoftu – Protect your online image with tips from Microsoft. Uživatelé by měli lépe spravovat svá online data a pečovat o svůj online obraz. Problém to není zanedbatelný, mohli se o tom přesvědčit ti, kteří na něj narazili při hledání zaměstnání. Microsoft ve svých doporučeních k tomu rozebírá tyto okruhy:

  • Stay vigilant and conduct your own “reputation report” from time to time
  • Consider separating your professional and personal profiles
  • Adjust your privacy settings
  • Think before you share
  • Be a good digital citizen

Viz také článek – 4 Ways to Manage Your Online Reputation.

Patnáctku největších internetových skandálů (ohledně ochrany soukromí) všech dob najdete na stránce 15 worst Internet privacy scandals of all time. Tohle ohlédnutí připravila Carolyn Duffy Marsan.

Megaupload

FileSonic zrušil možnost sdílení na svých serverech – FileSonic blocks sharing in wake of Megaupload raid. Uživatelé nyní mohou stahovat pouze ty soubory, které si zde sami uložili. Podle informace v článku některé další služby mažou velká množství souborů a zvažují blokování IP adres z USA.
Viz také rozsáhlejší článek, věnovaný i těm, kteří stáli za Megaupload – Amazon and Dropbox two of several file-sharing sites ´at risk of prosecution´ as shockwaves from Megaupload case spread.

Jak Anonymous (po uzavření Megaupload) používají nástroj LOIC – Tool used in Anonymous Megaupload campaign. Zajímavá statistika ukazuje, ve kterých zemích a v jakém množství byl tento nástroj stahován.

Megaupload, Anonymous, SOPA and the Internet fallout – Megaupload, Anonymous, SOPA a dopady na internet, autorem tohoto komentáře k aktuálním otázkám je Patrick Lambert.

K zatčení zakladatele Megaupload se obrací informace Megaupload founder poses ‚extreme‘ bail flight risk. Pustit dotyčného na kauci je vysoce riskantní, říkají žalobci. Viz – Megaupload´s Dot­com loses bail bid.
Další komentář – Megaupload founder joked about his ´hacker´ past.

ACTA

Útok na polské vládní stránky byl proveden hackery, kteří protestují proti antipirátské úmluvě (proběhl ještě před jejím podpisem) – Polish government websites attacked by hackers opposing anti-piracy agreement. Jedná se o dokument ACTA [Anti-Counterfeiting Trade Agreement], který pak Polsko podepsalo 26. ledna 2012. Viz také – Hackers attack Polish government web sites.

K celkovému hodnocení posledních aktivit Anonymous ve světě se obrací článek Anonymous Attacks More Megaupload Enemies.

Secret Government Talks Create Treaty Stricter Than SOPA, PIPA – USA, jaké dopady lze očekávat (od již podepsaného) úmluvy ACTA (Anti-Counterfeiting Trade Agreement)? Dokument ACTA je v některých směrech ještě přísnější než SOPA a PIPA. Na druhou stranu formulace v něm jsou trochu vágní a nejsou jasné cesty k prosazování uvedených záměrů.

Česko v tichosti udeřilo na počítačové piráty. Podepsalo kontroverzní smlouvu ACTA, z úvodu: Zástupci 22 zemí EU ve čtvrtek v Tokiu podepsali dohodu, která si klade za cíl vynucování duševního vlastnictví na globální úrovni. Vedle ochrany hmotného zboží se dotkne i autorských práv na internetu. Opatření obsažená ve smlouvě zatím nenabývají právní platnosti, musí je schválit Evropský parlament.

Demonstrace v Polsku proti podpisu smlouvy ACTA, v Krakově se sešlo 15 000 protes­tujících, Poland Signs Anti-Counterfeiting Treaty Amid Protests, Hackers.

ACTA je maškaráda, řekl zpravodaj europarlamentu a rezignoval, z úvodu: Hlavní zpravodaj Evropského parlamentu Kader Arif rezignoval na svou funkci. Důvodem je čtvrteční podpis dohody ACTA, která zavádí kontroly a sankce za porušování duševního vlastnictví, včetně například prohlídky elektroniky na hranicích. Jednání je podle Arifa neprůhledné a dohoda problematická.

V souvislosti s podpisem ACTA proběhl také DDoS útok na evropský parlament – ACTA: DDoS auf EU-Parlament. Objektem útoku se stal server EU a také stránky EU parlamentu.

Sociální sítě

Google+: The Missing Manual, to je recenze stejnojmenné knihy. Jejím autorem je Kevin Purdy, kniha 232 stran. Vyšla koncem prosince 2011 v naklada­telství O'Reilly Media. Najdete ji na Amazonu.

Software

Tragický stav bezpečnosti systémů SCADA byl demonstrován na akci SCADA Security Scientific Symposium (konalo se v Miami předminulý týden) – Researchers demonstrate tragic state of SCADA security. Viz také komentář – UPDATE: Looking For a ´FireSheep´ Moment, Researchers Lay Bare Woeful SCADA Security.

10K Reasons to Worry About Critical Infrastructure aneb 10 000 důvodů, proč mít obavy ohledně kritické infrastruktury, to je další komentář k výsledkům prezentovaným na konferenci S4,

Network Security First-Step, 2nd Edition, to je recenze stejnojmenné knihy. Autory knihy jsou Thomas M. Thomas a Donald Stoddard, kniha má 552 stran, vydalo ji nakladatelství Cisco Press v lednu 2012. Najdete ji na Amazonu.

Google záplatoval vážné bezpečnostní chyby Chrome. Celkem byly čtyři a zároveň bylo oznámeno, že pátou chybu společnost záplatovala již před dvěma týdny – Google patches several serious Chrome bugs.

Symanec radí uživatelům, aby vypnuli PCAnywhere (následek hacku) – Symantec advises users to turn off pcAnywhere in hack aftermath. Týká se to dopadu hacku z roku 2006. Podrobnosti obsahuje dokument Symantec pcAnywhere™ Security Recommendations. Viz také komentáře:

Několik doporučení k tomu, aby se SW bezpečnost stala vaší prioritou najdete na stránce Simple Tips You Must Know to Make Software Security a Priority, Part I. Je to první část zamýšleného dvoudílného článku. Autor tam rozebírá nezbytnost pozitivního vztahu k získání návyků ohledně SW bezpečnosti a uvádí 4 tipy pod těmito názvy:

  • Plant the seed
  • The fox watching the hen house
  • Simplify the training
  • Be realistic about what flaws to tackle

Malware

Citadel – odnož bankovního trojana Zeus, o tomto malware informuje Brian Krebs. Je to produkt se servisem a vlastní sociální sítí. “Zákazníci” se mohou také podílet na dalším jeho vývoji – ‘Citadel’ Trojan Touts Trouble-Ticket System.

Malware Gameover je zkušební fází pro další verze trojana Zeus – Researcher traces ‚Gameover‘ malware to maker of Zeus. Informuje o tom Don Jackson (senior security researcher with Dell SecureWorks). Autor trojana Zeus má nyní tři nebo čtyři hlavní klienty a pracuje pro jejich potřeby. V článku jsou popsány použité úpravy.

Vir Ramnit na Facebooku, několik doporučení k ochraně před ním a k cestám, jak se ho zbavit, je na stránce Facing down the Ramnit virus on Facebook: Tips for protection and clean-up. Autor článku vysvětluje vlastnosti tohoto viru, problémy s ním související a uvádí možné “léky”.

Víte co je frankenmalware? Super-powered ‚frankenmalware‘ strains detected in the wild, viry náhodně infikují červy již v počítači obsažené a vytváří tak monstrózní malware,které se šíří velmi rychle. Na tuto novou podobu poukazuje analýza společnosti BitDefender – Virus infects worm by mistake.

Kelihos: botnet je mrtvý, ale infikované počítače jsou zde stále – Microsoft Unmasks Kelihos Mastermind; Botnet Dead But Not Gone. Stále zůstává asi 10 000 počítačů, které jsou infikovány, sbírají ukradená data, pokouší se podílet na spamu a hledají nové řídící centrum Kelihose.

Jak se bránit infekcím, které jsou přenášeny USB klíčenkami? V článku How to Prevent Thumb Drive Security Disasters jsou tlumočeny zkušenosti čtyř organizací.

Hackeři a jiní útočníci

Low Tech Hacking, to je recenze knihy jejíž celý název je Low Tech Hacking: Street Smarts for Security Professionals. Autory knihy jsou Jack Wiles, Terry Gudaitis, Jennifer Jabbusch, Russ Rogers a Sean Lowther. Kniha má 264 stran a vyšla v lednu 2012 v naklada­telství Syngress. Najdete ji na Amazonu.

Tvůrce botnetu Kelihos pracoval pro antivirovou firmu – Microsoft: Worm Operator Worked at Antivirus Firm. Oznámil to Microsoft. Jedná se o Andreje Sabelnikova z Petrohradu. Zřejmě pracoval pro antivirovou společnost Agnitum, která v Petrohradu sídlí.
Viz také – Accused Kelihos botnet maker worked for two security.

Byla hacknuta stránka americké vlády pro online bezpečnost – U.S. Government Online Security Website Hacked. AntiSec umístili na web OnGuardOnline výhrůžky, které uplatní, pokud zákony SOPA a PIPA projdou.
Viz také – US govt security advice site trashed by hackers.

Odborníci našli síť 7 000 “překlepových” domén – Researchers discover network of 7,000 typo squatting domains. Na podvodné stránky se dostanou ti, kteří špatně vypíší odkaz na takové služby jako Google, Twitter, Gmail, YouTube, Wikipedia, Victoria's Secret, Craigslist a mnoho dalších.

New York State Public Service Commission – nový průnik se týká osobních dat dvou miliónů zákazníků – Data Breach Affects Two Million NY Customers, State Commission to Investigate. Viz tisková zpráva – PSC INVESTIGATES CONSUMER DATA BREACH AT NYSEG, RG&E.

Hackeři napadli web české vlády, z úvodu: Hackerské útoky hnutí Anonymous se v posledních dnech nevyhýbají ani České republice. Ve čtvrtek večer se mu podařilo napadnout oficiální stránky Vlády České republiky. Ten se kvůli přetížení potýká už od šesté hodiny s výpadky. Už od půl páté hackeři útočili také na stránky Ochranného svazu autorského (OSA). Viz také – Hackeři vyřadili na tři hodiny web české vlády. Česko nemá proti útokům ochranu.

Waledac a Kelihos, kdo funguje jako operátor těchto botnetů? V minulých dnech obviněný Sabelnikov pravděpodobně byl jen tím, kdo Kelihos vyvíjel. Brian Krebs poukazuje ve své informaci na jiného muže, známého jako Peter Severa – Mr. Waledac: The Peter North of Spamming.

Symantec: další důkazy ukazují na prsty Číny v útocích na velké západní firmy (včetně armádních dodavatelů) – Researchers unearth more Chinese links to defense contractor attacks. Útočníci pochází z okolí Pekingu, mají zde “výstupní” (staging) server. Byly na něm nalezeny škodící soubory používané útočníky.

Hacknut byl web brněnského letiště – Brno Airport Web Site hacked and Data leaked by @anon_4freedom. Zveřejněna byla data k cca 100 účtům – http://virtual­sepo.blogspot­.com/2012/01/brno-airport-web-site-hacked-by-sepo.html. Útočníci se podepsali jako @anon_4freedom.

‚Hannibal‘ leaks ‚100,000 Facebook logins‘ – proizraelský hacker zveřejnil data k 100 000 arabským účtům na Facebooku. Pak však nečekaně zveřejnil výzvu k zastavení kybernetické války na Středním Východě.

Saudská Arábie a Abu Dhabi – hackeři napadli akciové trhy – Middle East Stock Exchanges Hit By Hackers. Na začátku minulého týdne došlo k obdobnému útoku v Tel Avivu.
Viz také informaci – Israeli hackers deface Iranian Government websites.

Anonymous

K filmovému dokumentu o Anonymous – We Are Legion: The Story of the Hacktivists. Fenoménu poslední období je věnován dokument v délce 93 minut. V článku jsou k němu uvedeny některé poznámky. Viz také přiložené video.

OpIreland hackers spank gov sites as ‚Irish SOPA‘ nears – Anonymous a OpIreland, útoky jsou cíleny na irské vládní stránky a jejich součástí jsou i sliby (výhrůžky) ohledně dalších hackerských aktivit – pokud projde nová legislativa (typu SOPA).

Anonymous Goes After World Governments in Wake of Anti-SOPA Protests – Anonymous útočí na světové vlády (Anti SOPA protesty). To je rozsáhlejší komentář, který hodnotí situaci v různých zemích.

Hardware

Chyby při využívání videokonferenčních prostředků usnadňují špionáž – Video conferencing mistakes make espionage easy, say researchers. HD Moore (bezpečnostní pracovník společnosti Rapid7) analyzoval část internetu, hledal hardware, který používá protokol H.323. Zjistil, že dvě procenta tohoto HW jsou ve stavu vedoucím k rizikům infiltrace hackery (nejsou za firewallem a nastaveny jsou tak, že automaticky odpovídají na přicházející hovory).

Mobilní zařízení

Byl proveden definitivní jailbreak iPad 2, iPhone 4S – iPad 2, iPhone 4S finally jail-broken. Podrobnosti jsou na této stránce – Untethered Jailbreak for iPhone 4S & iPad 2 !.

Hackeři Androidu diskutují možnost speciálního obchodu pro aplikace – Android hackers mull rooted mobe app marketplace. Měly by zde být prodávány aplikace, které Google nechce povolit – CyanogenMod App Store.

Schvalovací proces Apple pro aplikace iPhone má trhliny – Apple approves fake iPhone app for App Store. Prošla jím podvržená aplikace (Camera+ ve verzi 4.0).

Americké ministerstvo obrany povolí Android v chráněných (klasifikovaných, pod stupněm utajení) sítích – DOD to allow Android on classified networks. Ministerstvo obrany (DOD) a NIST chystají v tomto smyslu příslušné normy.

Nebezpečí hacknutých mobilních telefonů je předmětem článku v New York Times, který reaguje na nedávná zjištění – Build Up Your Phone’s Defenses Against Hackers. Autor konstatuje, že hacknout a odposlouchávat mobily není zase tak obtížnou záležitostí, uvádí příklady. V článku je také obsažena řada doporučení k zabezpečení vašeho mobilu.

Šifrovací klíče chytrých mobilů lze ukrást pomocí techniky, která využívá šířené radiové vlny – Hacking stunt: Stealing smartphone crypto keys using plain old radio. Paul Kocher (hlava Cryptography Research) to bude demonstrovat na několika typech chytrých mobilů příští měsíc na konferenci RSA. Je třeba jen vyladit správnou frekvenci. Problém však lze napravit, říká Kocher.

Masivní útok Android malware zasáhl 5 miliónů uživatelů – Massive Android malware op may have infected 5 million users. Tzv. Android.Counter­clank byl obsažen celkem v 13 aplikacích od tří dodavatelů, které byly k dispozici (a některé stále jsou) na Android market.

Forenzní analýza

Digital Detectives: Making The Most Of Your Incident Response And Forensics Efforts – k práci digitálních detektivů aneb jak odpovídat na incidenty. Zajímavý materiál připravil John H. Sawyer. V jeho závěru uvádí těchto šest stádií odpovědi na incident:

  • Preparation
  • Identification
  • Containment
  • Eradication
  • Recovery Systems
  • Lessons Learned

Phishing

Byla vydána studie The New Phishing Threat: Deception & Social Engineering (Nezbytná je registrace). Z obsahu:

  • Phishing Attacks
    • Trends in Phishing Attacks
    • Phishing Attacks Are Working
    • Advanced Persistent Threats
    • Example Of A Phish Attack
  • Cost and Downfall of Attacks
  • The Challenges of Protecting Against the Phishing Threat
  • Threat Protection
  • Phish Audit

Elektronický podpis

Některé z největších problémů SSL/TLS nesouvisí s technologií, ale se špatnými praktikami – Is SSL Cert Holder ID Verification A Joke?. Certifikační autority by měly důsledněji identifikovat majitele certifikátů.

Explaining how trusted SSL certificates and forged SSL certificates work aneb jak fungují důvěryhodné SSL certifikáty a jak padělané SSL certifikáty. Michael Cobb popisuje celé to fungování a ptá se, zda současný model CA přetrvá.

Biometrie

Jak obelstít SW pro rozpoznávání obličejů? Autor článku How to Beat Facial-Recognition Software poukazuje na zatím málo prokázanou užitečnost těchto systémů i na cesty, jak je lze oklamat.

Kryptografie

Serious Flaw Emerges In Quantum Cryptography – k vážné chybě, která se objevila v kvantové kryptografii. Teoreticky kvantová kryptografie funguje, ale praktické implementace mají problém. V samotné studii – Prisoners of their own device: Trojan attacks on device-independent quantum cryptography, Jonathan Barrett, Roger Colbeck and Adrian Kent poukazují na kritickou slabinu zařízení, která využívají kvantovou kryptografii pro svoji práci.

root_podpora

Přehled odkazů k aktuálním výsledkům ohledně kryptoanalýzy blokových šifer (AES a další šifry) najdete na stránce Is AES a Secure Cipher ?. Nelekněte se titulku. Výpočetní náročnost zmiňovaného útoku na AES je sice menší než náročnost útoku hrubou silou, pořád však je mimo dosah praktického využití.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Byl pro vás článek přínosný?